企業風險管理

[摘 要] 企業風險管理是一個倍受關注的焦點問題，企業能否在存在各種不確定性因素影響的環境中有序、有效地運轉，在很大程度上取決于企業風險管理的有效性。在企業風險管理中，如何把握好風險評估、風險應對及其效率效果評價是非常重要的，這也恰是本文的初衷。

[關鍵詞] 風險管理 風險評估 風險應對

一、風險的定義、分類和風險評估的定義

企業風險管理的目標就是對風險進行管理。但是在風險管理過程中，當進行風險識別時，最常見的一個錯誤就是把不是風險的事物誤認為是風險。很顯然，如果風險管理過程的這一早先步驟失敗了，接下來的步驟就會注定要失敗，風險管理也就不可能產生效果。因此，確保風險識別這一步驟能夠識別出真正的風險是至關重要的。下文分別對風險管理中的風險評估，風險應對和企業風險管理的效率做闡述。

1.風險和不確定性

很多人在理解風險時，往往會把風險(risk)和不確定性（uncertainty）相混淆。事實上，風險與不確定性并不相同，那么它們之間的聯系何在呢？關鍵是要認識到，風險的定義只能與目標相聯系。風險的最簡單的定義是“起作用的不確定性”，它之所以起作用，是因為它能夠影響一個或多個目標。風險并不是存在于真空中，因此我們需要定義什么“處于風險之中”（at risk），也就是說，如果風險發生的話，什么目標將會受到影響。因此，風險的一個更加完整的定義是“能夠影響一個或多個目標的不確定性”。這個定義使我們認識到，有些不確定性與目標并不相關，它們應該被排除在風險管理過程之外。

風險與目標之間的聯系也可以幫助我們識別不同級別的風險，它們是基于組織中存在的不同層次的目標。從風險的概念“能夠影響目標的不確定性”來看，我們可以提出另外一個問題——會產生什么樣的影響？有些不確定性的發生會使得我們達到目標更加困難（即威脅），而有些不確定性事件的發生則會幫助我們達到目標（即機會）。當我們進行風險識別時，不僅要看到不確定性的負面影響，也需要看到不確定性的正面影響。有效的風險管理要求識別出真正的風險，即“能夠對一個或多個目標產生正面或負面影響的不確定性”。

2.風險的分類

(1)根據風險的效應劃分，可以把風險分為：①系統風險：在同一體位階段觀察時，風險效應無法抵消的風險或不可分散的風險。②非系統風險：在同一體位階段觀察時，風險效應能夠抵消的風險或可分散的風險。

(2)根據風險暴露體性質劃分，可以把風險分為：①實質資產風險：不動產與非財務性動產可能遭受的風險，表現為毀損或貶值。②財務資產風險：財務性資產可能遭受的風險，如利率波動或股票跌價。③責任暴露風險：因法律上的侵權或違約導致第三人蒙受損失。④人力資源風險：如公司員工因傷病死亡導致公司生產力衰退或其他非安全的風險。

3.全面風險管理

全面風險管理是指用系統的、動態的方法進行風險控制，以減少業務過程中的不確定性。它不僅使各層次的管理者建立風險意識，重視風險問題，防范于未然，而且在各個階段、各個方面實施有效的風險控制，形成一個前后連貫的管理過程。也即全面組織有效措施對項目全過程的全部風險實施全方位管理。

4.風險評估定義

風險評估，是指及時識別、科學分析影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程。在實際操作中，可以把企業風險評估過程分為風險識別、風險分析和風險評價三個步驟。風險辨識是識別企業面臨的風險，并將風險歸類；風險分析是將識別出的風險放進統一的模型中進行分析處理，進一步作出定性和定量的分析，包括風險對企業目標實現的可能影響、這些風險物化的多重情境分析和統計特性、可能的影響因素和方式；風險評價是評價風險對企業目標的影響，企業影響最大的風險將成為企業風險管理的重點。

二、企業進行風險評估的

許多研究表明企業的生命周期的長短與企業對風險的把握呈高度正相關性。國外統計資料表明：在正常年份宣布破產的企業數量約占企業總數的1%。日本學術振興會特別研究員清水剛通過研究發現，1896年到1982年的10次總資產排名前100家的上市公司中，企業平均壽命為25年。1983年殼牌石油公司的一項調查發現，1970年名列《財富》雜志500家大企業排行榜的公司，有三分之一已經銷聲匿跡。

由上述不難發現，企業有必要而且必須有較強的風險管理能力才能生存、發展和壯大。在當前的激烈競爭中，風險管理水平的高低直接影響著企業的生死存亡，是否具備全面風險管理能力是現代企業的核心競爭力強弱的表征之一。要推行全面風險管理，第一步應從風險評估著手，因為風險評估是風險管理的起始階段。

三、風險評估程序

風險評估一般應當按照目標設定、風險識別、風險分析、風險應對等程序進行。目標設定是風險識別、風險分析和風險應對的前提。企業應當按照戰略目標，設定相關的經營目標、財務報告目標、合規性目標與資產安全完整目標，并根據設定的目標合理確定企業整體風險承受能力和具體業務層次上的可接受的風險水平。

四、企業風險識別的有關方法

在評估風險的過程中要注意選擇合適的評估技術，評估風險事件發生的可能性和頻繁度，風險事件的潛在影響及其成本的高低，最后繪制一張風險圖。評估風險事件的方法有很多，但不同方法共同的目標都是找出組織信息資產面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。

1.基于知識的分析方法

組織可以采用基于知識的分析方法來找出目前的安全狀況和基線安全標準之間的差距。基于知識的分析方法又稱作經驗方法，它牽涉到對來自類似組織（包括規模、商務目標和市場等）的“最佳慣例”的重用，適合一般性的信息安全社團，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，并按照標準或最佳慣例的推薦選擇安全措施，最終達到消減和控制風險的目的。

2.基于模型的分析方法

2001年1月，由希臘、德國、英國、挪威等國的多家商業公司和研究機構共同組織開發了一個名為CORAS的項目，即Platform for Risk Analysis of Security Critical Systems。該項目的目的是開發一個基于面向對象建模特別是UML 技術的風險評估框架，它的評估對象是對安全要求很高的一般性的系統，特別是IT 系統的安全。CORAS考慮到技術、人員，以及所有與組織安全相關的方面，通過CORAS風險評估，組織可以定義、獲取并維護IT 系統的保密性、完整性、可用性、抗抵賴性、可追溯性、真實性和可靠性。與傳統的定性和定量分析類似，CORAS風險評估沿用了識別風險、分析風險、評價并處理風險這樣的過程，但其度量風險的方法則完全不同，所有的分析過程都是基于面向對象的模型來進行的。CORAS的優點在于：提高了對安全相關特性描述的精確性，改善了分析結果的質量；圖形化的建模機制便于溝通，減少了理解上的偏差；加強了不同評估方法互操作的效率等等。

3.定量分析

進行詳細風險分析時，除了可以使用基于知識的評估方法外，最傳統的還是定量和定性分析的方法。定量分析方法的思想很明確：對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當度量風險的所有要素（資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，風險評估的整個過程和結果就都可以被量化了。簡單說，定量分析就是試圖從數字上對安全風險進行分析評估的一種方法。定量風險分析中有幾個重要的概念：

暴露因子（Exposure Factor，EF）——特定威脅對特定資產造成損失的百分比，或者說損失的程度。

單一損失期望（Single Loss Expectancy，SLE）——或者稱作SOC（Single Occurrence Costs），即特定威脅可能造成的潛在損失總量。

年度發生率（Annualized Rate of Occurrence，ARO）——即威脅在一年內估計會發生的頻率。

年度損失期望（Annualized Loss Expectancy，ALE）——或者稱作EAC（Estimated Annual Cost），表示特定資產在一年內遭受損失的預期值。

理論上講，通過定量分析可以對安全風險進行準確的分級，但這有個前提，那就是可供參考的數據指標是準確的，事實上，在信息系統日益復雜多變的今天，定量分析所依據的數據的可靠性是很難保證的，再加上數據統計缺乏長期性，計算過程又極易出錯，這就給分析的細化帶來了很大困難，所以，目前的信息安全風險分析，采用定量分析或者純定量分析方法的已經比較少了。

4.定性分析

定性分析方法是目前采用最為廣泛的一種方法，它帶有很強的主觀性，往往需要憑借分析者的經驗和直覺，或者業界的標準和慣例，為風險管理諸要素（資產價值，威脅的可能性，弱點被利用的容易度，現有控制措施的效力等）的大小或高低程度定性分級，例如“高”、“中”、“低”三級。定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（Checklist）、問卷（Questionnaire）、人員訪談（Interview）、調查（Survey）等。定性分析操作起來相對容易，但也可能因為操作者經驗和直覺的偏差而使分析結果失準。

與定量分析相比較，定性分析的準確性稍好但精確性不夠，定量分析則相反；定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經驗和能力；定量分析依賴大量的統計數據，而定性分析沒有這方面的要求；定性分析較為主觀，定量分析基于客觀；此外，定量分析的結果很直觀，容易理解，而定性分析的結果則很難有統一的解釋。組織可以根據具體的情況來選擇定性或定量的分析方法。

五、風險應對

在評估了相關的風險之后，管理當局就要確定如何應對。應對包括風險回避、降低、分擔和承受。在考慮應對的過程中，管理當局評估對風險的可能性和影響的效果，以及成本效益，選擇能夠使剩余風險處于期望的風險容限以內的應對。管理當局識別所有可能存在的機會，從主體范圍或組合的角度去認識風險，以確定總體剩余風險是否在主體的風險容量之內。

風險應對可以分為以下幾種類型：

回避（avoidance）風險，或稱避免風險即指退出會產生風險的活動。風險回避可能包括退出一條產品線、拒絕向一個新的地區市場拓展，或者賣掉一個分部。

降低（reduction）風險，或稱控制風險即指采取措施降低風險的可能性或影響，或者同時降低兩者。它幾乎涉及各種日常的經營決策。

分擔（sharing）風險，或稱分散與轉移風險即指通過轉移來降低風險的可能性或影響，或者分擔一部分風險。常見的技術包括購買保險產品、從事避險交易（hedging transactions）或外包一項業務活動。

承受（acceptance）風險，或稱正面承擔風險即指不采取任何措施去干預風險的可能性或影響。

在采取任何應對之前，必須對可能的應對方案進行評價。分析固有風險和評價應對的木的在于使剩余風險水平與主體的風險容限相協調。

六、風險應對效率評價

要對風險應對的效率效果進行評價，這是對管理當局所做出應對的綜合效果的一種檢測手段。主要方法是評估成本與效益。資源的稀缺性決定了資源總是有約束的，因而主體必須考慮備選風險應對方案的相關成本與效益。企業風險管理要求從整個主體范圍或組合的角度去考慮風險。綜合權衡之下，采取最為有效的策略，即投入產出最優化方案去應對企業的風險。

參考文獻：

[1]方紅星 王宏譯:(美)COSO制定發布.企業風險管理整合框架，東北財經大學出版社

[2]企業內部控制標準委員會:企業內部控制規范——基本規范（征求意見稿）

[3]孟 焰 潘秀麗:企業風險管理審計研究

[4]鄭洪濤:企業風險管理:全面風險評估與對策

[5]吳水澎 陳漢文 邵賢弟:企業內部控制理論的發展與啟示.會計研究，2000.5

[6]朱榮恩 應 唯 袁 敏:美國財務報告內部控制評價的發展及對我國的啟示.會計研究，2003.8